セキュア ブート DBX 用のセキュリティ更新プログラム: 2021 年 1 月 12 日

適用対象

このセキュリティ更新プログラムは、以下の Windows バージョンにのみ適用されます。

  • Windows Server 2012 x64 ビット

  • Windows Server 2012 R2 x64 ビット

  • Windows 8.1 x64 ビット

  • Windows Server 2016 x64 ビット

  • Windows Server 2019 x64 ビット

  • Windows 10 Version 1607 x64 ビット

  • Windows 10 Version 1803 x64 ビット

  • Windows 10 Version 1809 x64 ビット

  • Windows 10 Version 1909 x64 ビット

概要

このセキュリティ更新プログラムは、「適用対象」セクションに記載されているサポートされている Windows バージョンのセキュア ブート DBX を改善します。 主要な変更点としては、次のようなものがあります。

  • Unified Extensible Firmware Interface (UEFI) ベースのファームウェアを搭載した Windows デバイスは、セキュア ブートを有効にして実行できます。 Secure Boot Forbidden Signature Database (DBX) により、UEFI モジュールの読み込みができなくなります。 この更新プログラムにより、モジュールが DBX に追加されます。

    セキュア ブートにはセキュリティ機能のバイパスの脆弱性が存在します。 脆弱性の悪用に成功した攻撃者は、セキュア ブートをバイパスし、信頼できないソフトウェアを読み込む可能性があります。

    このセキュリティ更新プログラムは、既知の脆弱性のある UEFI モジュールの署名を DBX に追加することにより、この脆弱性に対処します。

このセキュリティの脆弱性の詳細については、「CVE-2020-0689 | Microsoft セキュア ブート セキュリティ機能のバイパスの脆弱性」を参照してください。

既知の問題

問題

回避策

一部の相手先ブランド供給 (OEM) ファームウェアでは、この更新プログラムのインストールが許可されていない場合があります。

この問題を解決するには、ファームウェア OEM にお問い合わせください。

BitLocker グループ ポリシー [ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] が有効で、ポリシーによって PCR7 が選択されている場合、PCR7 バインドが不可能な一部のデバイスで BitLocker 回復キーが必要になる場合があります。

PCR7 バインド状態を表示するには、管理者権限で Microsoft システム情報 (Msinfo32.exe) ツールを実行します。

重要: 既定のプラットフォーム検証プロファイルから変更すると、デバイスのセキュリティと管理性に影響します。 プラットフォームの (悪意のあるまたは許可された) 変更に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増加または減少します。 具体的には、PCR7 を省略してこのポリシーを設定すると、[セキュア ブートによる整合性の検証を許可する] グループ ポリシーが上書きされます。 これにより、BitLocker がプラットフォームまたはブート構成データ (BCD) の整合性検証にセキュア ブートを使用できなくなります。 このポリシーを設定すると、ファームウェアの更新時に BitLocker が回復する場合があります。 このポリシーに PCR0 を含めるように設定した場合は、ファームウェアの更新プログラムを適用する前に BitLocker を一時停止する必要があります。

このポリシーを構成するのではなく、各デバイスで使用可能なハードウェアに基づいて、セキュリティと使いやすさの最適な組み合わせに対して、Windows が PCR プロファイルを選択できるようにすることをお勧めします。

この問題を回避するには、この更新プログラムを展開する前に、Credential Guard の構成に基づいて次のいずれかを実行します。

  • Credential Guard が有効になっていないデバイスで、管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 1 回の再起動サイクルで一時停止します。

    Manage-bde –Protectors –Disable C: -RebootCount 1


    次に、デバイスを再起動して BitLocker 保護を再開します。

    注: BitLocker の回復を行うため、デバイスを追加で再起動せずに BitLocker 保護を有効にしないでください。

  • Credential Guard が有効になっているデバイスでは、更新中に BitLocker の中断が必要な再起動が複数回発生する場合があります。 管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 3 回の再起動サイクルで一時停止します。 Manage-bde –Protectors –Disable C: -RebootCount 3

    この更新プログラムにより、システムが 2 回再起動する予定です。 デバイスをもう一度再起動して、BitLocker 保護を再開します。

    注: BitLocker の回復を行うため、追加で再起動せずに BitLocker 保護を有効にしないでください。

この更新プログラムの入手方法

方法 1: Windows Update 

この更新プログラムは、Windows Update を介して利用可能です。 ダウンロードとインストールは自動的に行われます。  

方法 2: Microsoft Update カタログ 

この更新プログラムのスタンドアロン パッケージを入手するには、 Microsoft Update カタログ  Web サイトにアクセスします。

方法 3: Windows Server Update Services

この更新プログラムは、Windows Server Update Services (WSUS) を介して入手することもできます。

必要条件

最新のサービス スタック更新プログラム (SSU) がインストールされていることを確認します。 ご使用のオペレーティング システムの最新の SSU については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。

再起動に関する情報 

この更新プログラムを適用するときに、デバイスを再起動する必要はありません。 Windows Defender Credential Guard (仮想セキュア モード) を有効にしている場合、デバイスは 2 回再起動されます。

更新プログラムの置き換えに関する情報 

この更新プログラムを適用しても、これまでにリリースされた更新プログラムが置き換えられることはありません。

ファイル情報

Windows 10 Version 1909


ファイル属性

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

Windows 10 Version 1809 および Windows Server 2019


ファイル属性

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

Windows 10 Version 1803


ファイル属性

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

 

Windows 10 Version 1607 および Windows Server 2016


ファイル属性

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

 

Windows 8.1 および Windows Server 2012 R2


ファイル属性

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

注意事項

インストールされている MANIFEST ファイル (.manifest) および MUM ファイル (.mum) は記載されていません。


Windows Server 2012


ファイル属性

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

注意事項

インストールされている MANIFEST ファイル (.manifest) および MUM ファイル (.mum) は記載されていません。

ファイルの検証

ファイル ハッシュ情報

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

サポートされているすべての x64 ベース バージョン

ファイル名

ファイル サイズ

日付

時刻

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

1,368

23-Sep-2019

23:13

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

2,840

23-Sep-2019

23:13

Tpmtasks.dll

3,339

23-Sep-2019

23:13

Tpmtasks.dll

2,892

23-Sep-2019

23:13

ファイルの検証

ファイル ハッシュ情報

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

サポートされているすべての x64 ベース バージョン

ファイル名

ファイル サイズ

日付

時刻

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

1,368

25-Sep-2019

01:14

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

2,840

25-Sep-2019

01:14

Tpmtasks.dll

1,998

25-Sep-2019

01:14

Tpmtasks.dll

1,568

25-Sep-2019

01:14

ファイルの検証

ファイル ハッシュ情報

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

サポートされているすべての x64 ベース バージョン

ファイル名

ファイル バージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

Not applicable

3

30-Oct-2017

01:01

Dbxupdate.bin

Not applicable

7,361

10-Sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10-Sep-2019

03:55

ファイルの検証

ファイル ハッシュ情報

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

サポートされているすべての x64 ベース バージョン

ファイル名

ファイル バージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

Not applicable

2

03-Sep-2019

22:05

Dbxupdate.bin

Not applicable

7,361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-Sep-2019

05:04

ファイルの検証

ファイル ハッシュ情報

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

サポートされているすべての x64 ベース バージョン

ファイル名

ファイル バージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

Not applicable

2

25-Sep-2019

04:21

Dbxupdate.bin

Not applicable

7,361

25-Sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-Sep-2019

06:30

ファイルの検証

ファイル ハッシュ情報

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

サポートされているすべての x64 ベース バージョン

ファイル名

ファイル バージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

Not applicable

2

20-Jun-2019

00:06

Dbxupdate.bin

Not applicable

7,361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Sep-2019

04:30

参照情報

マイクロソフトでソフトウェア更新プログラムの説明に使用する用語集を参照してください。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×